Se propaga una versión maliciosa del software Ammy Admin
Este malware tenía dos objetivos principales:
1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:
- pass.txt
- passwords.txt
- wallet.dat
- bitcoin
2. Reportar procesos que incluyan alguna de las siguientes características:
- armoryqt
- bitcoin
- exodus
- electrum
- jaxx
- keepass
- kitty
- mstsc
- multibit
- putty
- radmin
- vsphere
- winscp
- xshell
La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection
Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.
6FB4212B81CD9917293523F9E0C716D2CA4693D4
675ACA2C0A3E1EEB08D5919F2C866059798E6E93
9F9B8A102DD84ABF1349A82E4021884842DC22DD
4B4498B5AFDAA4B9A2A2195B8B7E376BE10
No es la primera noticia de las que hemos hablado en Una al día sobre alteración de un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:
Malware hallado en el repositorio AUR de Arch Linux
Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.
Desde Hispasec recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.
Powered by WPeMatico